Architektura jest stosowana od wiosny 2018 r. i jest powiązana z dobrze znanym oraz produktywnym cybergangiem Lazarus z Korei Północnej. Ofiary ataków zostały zidentyfikowane w Polsce, Niemczech, Turcji, Korei, Japonii oraz Indiach.
Szkodliwe zestawy narzędzi wykorzystywane do atakowania wielu platform stanowią rzadkość, ponieważ wymagają znacznych inwestycji ze strony twórcy. Często stosowane są do celów długoterminowych, co powoduje wzrost zysków poprzez liczne ataki przeprowadzane na przestrzeni dłuższego czasu. W przypadkach wykrytych przez firmę Kaspersky zestaw narzędzi MATA umożliwiał atakowanie trzech platform – Windows, Linux oraz macOS – co oznacza, że cyberprzestępcy planowali wykorzystanie go do różnych celów. MATA składa się z kilku komponentów, takich jak moduł ładujący, koordynujący (który po infekcji urządzenia koordynuje i zarządza procesami) oraz wtyczki.
Według badaczy z firmy Kaspersky pierwsze znalezione artefakty związane z platformą MATA pojawiły się w okolicach kwietnia 2018 r. Następnie ugrupowanie odpowiedzialne za tę zaawansowaną architekturę szkodliwego oprogramowania przyjęło agresywne podejście do infiltrowania podmiotów korporacyjnych na całym świecie. Architektura MATA została wykorzystana w wielu atakach mających na celu kradzież baz danych klientów oraz rozprzestrzenianie ransomware – oprogramowania, które blokuje dostęp do systemu komputerowego do czasu zapłacenia okupu.
Według danych telemetrycznych firmy Kaspersky ofiary takich ataków były zlokalizowane w Polsce, Niemczech, Turcji, Korei, Japonii oraz Indiach, co sugeruje, że stojący za nimi cyberprzestępcy nie koncentrowali się na określonym terytorium. Co więcej, ugrupowanie Lazarus atakowało systemy w różnych branżach, w tym np. firmę zajmującą się rozwojem oprogramowania, firmę z branży e-handlu oraz dostawcę usług internetowych.
Badacze z firmy Kaspersky zdołali powiązać MATA z ugrupowaniem Lazarus, znanym z wyrafinowanych operacji oraz powiązań z Korea Północną, jak również z ataków cyberszpiegowskich i motywowanych finansowo. Wielu badaczy, w tym z firmy Kaspersky, informowało już wcześniej o atakach na banki oraz inne duże przedsiębiorstwa finansowe przeprowadzanych przez to ugrupowanie, łącznie z kampaniami ATMDtrack oraz AppleJeus. Najnowsza seria ataków sugeruje, że ugrupowanie kontynuuje tego rodzaju aktywność.
Opisywana seria ataków wskazuje na to, że ugrupowanie Lazarus było skłonne zainwestować znaczne środki w rozwój swojego zestawu narzędzi oraz rozszerzenie zakresu atakowanych organizacji, polując na pieniądze oraz dane. Ponadto tworzenie szkodliwego oprogramowania dla systemów Linux oraz macOS często sugeruje, że cyberprzestępcy uważają, że posiadają wystarczająco dużo narzędzi dla platformy Windows, na której działa ogromna większość urządzeń. Takie podejście jest typowe dla dojrzałych ugrupowań APT – powiedział Seongsu Park, starszy badacz ds. cyberbezpieczeństwa w firmie Kaspersky. Spodziewamy się dalszego rozwoju zestawu narzędzi MATA, dlatego zalecamy organizacjom zwracanie większej uwagi na bezpieczeństwo swoich danych stanowiących jeden z kluczowych i najcenniejszych zasobów, jakie mogą stanowić cel ataków.
Więcej szczegółów na temat platformy MATA znajduje się na stronie https://r.kaspersky.pl/Usdmu.
Porady bezpieczeństwa
Badacze z firmy Kaspersky zalecają wdrożenie następujących środków pozwalających na uniknięcie ataków wieloplatformowego szkodliwego oprogramowania:
· Zainstaluj wyspecjalizowany produkt cyberbezpieczeństwa na wszystkich punktach końcowych z systemem Windows, Linux oraz macOS. Zapewni on ochronę przed obecnymi i nowymi cyberzagrożeniami, jak również szereg kontroli cyberbezpieczeństwa dla każdego systemu.
· Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń, aby był na bieżąco z najnowszymi narzędziami, technikami oraz taktykami wykorzystywanymi przez cyberprzestępców.
· Zawsze miej łatwo dostępne, najnowsze kopie zapasowe danych biznesowych, które umożliwią natychmiastowe odzyskanie informacji, które zostały utracone lub zablokowane na skutek działania oprogramowania ransomware lub innych cyberzagrożeń.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.